Artigo 33.o

Notificação de uma violação de dados pessoais à autoridade de controlo

  • Em caso de viola√ß√£o de dados pessoais, o respons√°vel pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo¬†55.o, sem demora injustificada e, sempre que poss√≠vel, at√© 72 horas ap√≥s ter tido conhecimento da mesma, a menos que a viola√ß√£o dos dados pessoais n√£o seja suscet√≠vel de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notifica√ß√£o √† autoridade de controlo n√£o for transmitida no prazo de¬†72 horas, √© acompanhada dos motivos do atraso.
  • O subcontratante notifica o respons√°vel pelo tratamento sem demora injustificada ap√≥s ter conhecimento de uma viola√ß√£o de dados pessoais.
  • A notifica√ß√£o referida no n.o¬†1 deve, pelo menos:
    • a) Descrever a natureza da viola√ß√£o dos dados pessoais incluindo, se poss√≠vel, as categorias e o n√ļmero aproximado de titulares de dados afetados, bem como as categorias e o n√ļmero aproximado de registos de dados pessoais em causa;
    • b) Comunicar o nome e os contactos do encarregado da prote√ß√£o de dados ou de outro ponto de contacto onde possam ser obtidas mais informa√ß√Ķes;
    • c) Descrever as consequ√™ncias prov√°veis da viola√ß√£o de dados pessoais;
    • d) Descrever as medidas adotadas ou propostas pelo respons√°vel pelo tratamento para reparar a viola√ß√£o de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;
  • Caso, e na medida em que n√£o seja poss√≠vel fornecer todas as informa√ß√Ķes ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.
  • O respons√°vel pelo tratamento documenta quaisquer viola√ß√Ķes de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de repara√ß√£o adotada. Essa documenta√ß√£o deve permitir √† autoridade de controlo verificar o cumprimento do disposto no presente artigo.